Jälgitavus
Voogedasta iga sündmus oma SIEM-i, allkirjastatuna ja kontrollitavana.
Auditi- ja turvasündmused edastatakse reaalajas Splunki, Datadogi, Elasticusse, Microsoft Sentinelisse, S3 WORM-i või tavalisse syslogisse. Iga sündmus on pakitud allkirjastatud JWT-ümbrikku mTLS-i kaudu. Taasühendused kordavad iga lünga; tühjendused peatuvad sujuvalt.
Synaptyx
Splunk
Datadog
Elastic
Sentinel
S3 WORM
Syslog
Kuidas see töötab
1
Sündmus väljastatakse
Auditirida allkirjastatakse ja edastatakse SIEM-i tõukajale.
2
Pakitakse JWT-sse
Sündmus + auditiallkiri pakitakse iga sihtkoha jaoks võtmestatud JWS-ümbrikku.
3
Tõugatakse mTLS-i kaudu
Vastastikune TLS sinu nõusse. Edastuse ajal pole avateksti ega API-võtit.
4
Kordus taasühendamisel
Lüngad korratakse automaatselt püsivast puhvrist.
Süvavaated
Allkirjastatud ümbrikud
Sinu nõu kontrollib JWS-allkirja meie avaliku võtmega - sündmusi ei saa edastuse ajal võltsida ja sinu SIEM saab auditi käigus tõestada päritolu.
Kohaletoimetamise garantiid
Vähemalt-üks-kord idempotentsete ID-dega. Vastusurve, kui sinu nõu aeglustub. Tühjendusrežiim väljastab pooleliolevad ja peatub puhtalt.
WORM / vastavusnõud
S3 Object Lock haldus- või vastavusrežiimis muutumatuks salvestamiseks - audiitorid saavad säilitustõendi kohe.
Seadista nõu
config · yaml
sinks:
- name: splunk-prod
kind: splunk_hec
endpoint: https://splunk.acme.internal:8088
mtls:
cert_ref: vault://platform/splunk/client-cert
filters:
- action_prefix: audit.session → include
- action_prefix: audit.vault → include
- jsonpath: $.actor.role == "viewer" → exclude
delivery:
format: ecs
batch: 100
backoff: 2s → 30s
Sinu SIEM on tõe allikas - meie lihtsalt toidame seda, allkirjastatuna.
Kui rikkumise juurdlus saabub, kasutab audiitor sinu allkirjastatud kirjeid - mitte meie omi. Meie oleme kuller.
Võrdle
| Synaptyx | Veebihaagid (allkirjastamata) | Käsitsi logiväljastus | |
|---|---|---|---|
| Reaalajas kohaletoimetamine | mTLS-tõuge | allkirjastamata POST | ainult pakett |
| Allkirjastatud ümbrikud | JWS · nõupõhine võti | ei | ei |
| Kordus taasühendamisel | püsiv puhver | tõrke korral kadu | puudub |
| Mitu nõud | kõik korraga | üks URL | käsitsi |
| WORM-vastavus | S3 Object Lock (Enterprise) | ei | ei |
KKK
Sündmused puhverdatakse lokaalselt (vaikimisi 30 päeva) ja korratakse taasühendamisel idempotentsete ID-dega. Juhtimistasand töötab edasi.
Jah. Tavaline seadistus on Splunk SOC-i jaoks + S3 WORM vastavuse jaoks + Datadog arenduse jaoks - kõik samast sündmustevoost sõltumatute filtrireeglitega.
Vaikimisi ECS (Elastic Common Schema); nõupõhiselt on saadaval ka raw_json, CEF, LEEF ja syslog-variandid. Nõupõhiselt on saadaval ka OCSF-variant ja kohandatud väljade vastendused YAML-teisenduse kaudu.
Nõupõhised filtrireeglid toetavad jsonpath → varjamine. PII-väljad saab eemaldada enne, kui need jõuavad madalama usaldusega nõudesse.
Valmis oma AI-infrastruktuuri haldama?
Taotle ligipääsu mõne minutiga - või räägi meiega oma õhulõhega juurutusest.